来自 Cyfirma 的最新报告详细描述了 SpyNote 的死灰复燃,这是一种高度先进的安卓恶意软件,它冒充伪造的杀毒应用程序,专门伪装成 “Avast Mobile Security for Android ”来欺骗用户。这种恶意软件会伪装自己、获取权限并在设备上保持持久存在,使其能够进行广泛的数据窃取、监视和指挥控制操作。SpyNote 采用了一种巧妙的策略来引诱用户授予权限。一旦安装,它就会显示自己为 “Avast Mobile Security”,并配有一个看起来合法的图标。根据 Cyfirma 的说法,“SpyNote 利用可访问性权限,将自己广泛的控制权授予设备,包括将自己排除在电池优化之外”。通过模拟用户操作,它可以在用户不知情的情况下悄悄地在后台授予自己更多权限,从而实现对位置跟踪、摄像头访问和信息阅读等敏感功能的控制。一旦 SpyNote 获得权限,它就会开始拦截和收集数据。Cyfirma 的报告强调了它的功能,指出 “SpyNote 会收集数据,如外部存储(sdcard)上的凭证,并在稍后删除它们以消除痕迹”。该恶意软件积极寻求从其他应用程序中窃取凭证、加密货币钱包详情和数据,以流行品牌为目标,并通过利用特定设备的漏洞最大限度地扩大其影响范围。SpyNote 还试图与其命令控制服务器保持开放的通信渠道。Cyfirma 观察到 “发送到 C2 的 SYN 请求(45[.]94[.]31[.]96[:]7544)”,这表明即使服务器处于离线状态,它仍在不断尝试重新连接。SpyNote 具有多种自我防御功能,旨在阻止清除。Cyfirma 解释说,如果用户试图删除它,“恶意软件会使用可访问性功能模拟用户的触摸手势,阻止用户执行这些操作”。此外,它还会显示有关虚假系统更新的误导性通知,创建一个持续的无声通知,在误导用户的同时强化其在设备上的存在。SpyNote 能够伪装自己、获得广泛控制并在受感染设备上持续存在,这凸显了移动恶意软件不断发展的复杂性。Cyfirma 强调了提高网络安全意识的必要性,建议用户谨慎使用不熟悉的应用程序,并加强合法杀毒解决方案的重要性,以应对 SpyNote 等威胁。
